对钩子的认识

最新推荐文章于 2024-05-28 17:12:48 发布
最新推荐文章于 2024-05-28 17:12:48 发布
阅读量445 收藏
点赞数
分类专栏: c c++学习心得 文章标签: microsoft hook dll shell windows api

当时刚刚接触觉得有点无法理解,可是通过查msdn和上网搜索很快就有了粗浅的认识。对于一个屏蔽快捷键的钩子原理大概是这样的:

1.存在一个钩子处理函数(回调函数),和一个安置钩子的函数(vc下最常用的是SetWindowHookEx())

2.安置钩子的函数将钩子处理函数注入到某进程的消息响应链中,从而能达到截获某些消息的效果。(我的理解:))

3.钩子处理函数往往存在于一个dll文件中。(当然对于系统全局键盘钩子,和系统全局鼠标钩子可以放在其调用函数的可执行文件中,换句话说钩子处理函数可以和SetWindowHookEx()放在同一个exe中)

4.在使用钩子函数时要小心。设置了钩子要记得利用其句柄对其释放,在钩子处理函数中要记得调用CallNextHookEx()来保持消息处理链的完整等等。总之要非常小心。

起初我对钩子的认识就是这么简单。由于屏蔽热键仅仅用系统键盘钩子即可完成,所以在调用SetWindowHookEx()时最后两个重要参数均为零,所以与真正认识钩子的机会失之交臂。

时隔一年,再次有机会用到钩子函数(下文将介绍具体应用背景),目的是在一个进程中安置系统钩子,来监视另一个进程关闭时发出的消息。这次我认真的在网上搜索了相关材料,做了一些总结,一般来说钩子分为一下几种:

(1) 键盘钩子和低级键盘钩子可以监视各种键盘消息。

(2) 鼠标钩子和低级鼠标钩子可以监视各种鼠标消息。

(3) 外壳钩子可以监视各种Shell事件消息。比如启动和关闭应用程序。

(4) 日志钩子可以记录从系统消息队列中取出的各种事件消息。

(5) 窗口过程钩子监视所有从系统消息队列发往目标窗口的消息。

对于SetWindowsHookEx()中设定钩子类型的第一个参数的含义msdn中有详细说明,依据其中的描述WH_SHELL和WH_CBT都有获取另外一个进程关闭事件的功能。他们的翻译如下:

2、WH_CBT Hook

在以下事件之前,系统都会调用WH_CBT Hook子程,这些事件包括:

激活,建立,销毁,最小化,最大化,移动,改变尺寸等窗口事件;

13、WH_SHELL Hook

外壳应用程序可以使用WH_SHELL Hook去接收重要的通知。当外壳应用程序是激活的并且当顶层窗口建立或者销毁时,系统调用WH_SHELL Hook子程。

好了钩子类型基本锁定在这两个宏。

第二个参数是钩子处理函数,要声明成回调函数,一旦系统中出现满足钩子类型的消息就会陷入钩子处理函数,一般都是在钩子处理函数中再次对消息的具体内容、类型等信息进行过滤,以判断采取什么处理。没有什么好说的,这里要重点谈谈倒数的两个参数。

再说说SetWindowsHookEx()的倒数第二个参数吧,它是dll文件的句柄,根据我个人的理解,钩子函数的作用是把一段dll中代码注入到某个进程空间中,所以这个dll句柄一定要声明成全局唯一的,内存共享的数据段中,不然会出现非法访问内存的错误。这些都有由于windows为每个进程设置了虚拟空间造成的。 我也没有什么好方法,能方便的得到dll的句柄,只好将DllMain函数参数列表中的dll句柄直接保存起来。

最后也是给我造成最大麻烦的是最后一个参数,线程id!!起初我的想法是天真的,而且用Windows中计算机做的实验。直接用FindWindow()找到特定窗口的句柄,再用GetWindowThreadProcessId()同时得到了线程id和进程id,两个api全部搞定,这样的方法用于件事calc.exe这样简单的程序是好使的,完全正常工作。问题就是有些程序窗口名是可变,随着工作状态、窗口内的内容在不短改变窗口的title。这样的例子并不少见,比如word、Microsoft visiual c++等等就属于这类窗口。

起初面对这样的问题我有两条思路,首先设法这类应用程序的住进程名是固顶的,可以清楚的从任务管理器中找到它。第二这类程序的窗口中总有一部分“公共内容”比如word中的Microsoft Word能否得到所有任务栏中窗口的名字一一提取出来进行解析呢?

第一种思路我是不知道有什么api能直接得到的,上网搜吧,倒霉吹的公司里的“肉食者”就是他妈的有网络限制,很多东西无法浏览,逼我在这里骂娘。看到csdn中的帖子大部分都是菜鸟们瞎吵吵,很乱套。受够了!!几经周折最后搜还是到一些代码的,其思想不过是枚举所有进程->提取其名字->找到想要进程后,枚举其所有线程->查找不依赖于其它任何线程的线程,即主线程。其效率暂且不谈,单说思路已经和第二种方案无异。效率大概还不及第二种思路。

思路二,很简单三个api搞定,::::GetTopWindow(),::GetNextWindow,::GetWindowText(),可是当我吧所有窗口名字在屏幕中打印出来的时候并不是我想要的样子,很多运行的程序窗口没找到,又有一些打印出来的名字,找不到窗口。看来这两个思路变成了死路。

搜索,坚持,直到所有的耐心全部耗光,知道彻底疯掉失去信心……

难道一个“线程id”如此难求吗。最后干脆搜索关键词“主线程”,找到了函数::CreateProcess(……)方法来啦!

lmsnju
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
练习 进程钩子 全局钩子
wochendaixin的博客
01-05 1239
C++ 关于钩子的知识点博客网上基本写的都非常详细,这里只是简单分享一下本人练手的编程步骤和一些简单认识钩子程序就大概分成了2种: (1) 进程中的钩子:它 的作用范围只是限定在某个进程中,或者某个线程中。比如我们只想起一个MFC程序,截获在这个MFC程序界面中的所有鼠标,键盘操作。这属于进程中的钩子。 编写普通的进程中的钩子demo,可以直接建立一个小MFC工程就可以了。
深入JVM关闭与关闭钩子
热门推荐
Floating Cat
10-15 1万+
通常而言,对于JVM的关闭我们很少去关注,但是了解JVM的关闭能帮我们在JVM关闭时做一些合理的事情。
php 钩子函数,PHP中钩子函数的实现与认识
weixin_35933239的博客
03-10 190
假如有这么一段程序:function fun(){fun1();fun2();}首先程序执行完fun1()之后执行fun2()然后fun()结束。但是,假如我们想对函数做一些变化。比如说,fun是一个解析函数,我们希望后期可以提供丰富的解析函数,而究竟用哪个函数解析,我们希望在配置文件中配置。这个时候就可以发挥钩子的力量了。我们可以在function fun(){}中加入一个挂钩点H,然后再执行H...
php钩子函数示例,PHP中钩子函数的实现与认识
weixin_42505792的博客
03-12 75
假如有这么一段程序:function fun(){fun1();fun2();}首先程序执行完fun1()之后执行fun2()然后fun()结束。但是,假如我们想对函数做一些变化。比如说,fun是一个解析函数,我们希望后期可以提供丰富的解析函数,而究竟用哪个函数解析,我们希望在配置文件中配置。这个时候就可以发挥钩子的力量了。我们可以在function fun(){}中加入一个挂钩点H,然后再执行H...
认识 react 的钩子函数
u011280778的博客
03-18 3830
钩子函数运行总览: react基本的钩子函数(蓝色为持续运行的钩子函数) 执行顺序 和组件相关的几个重要钩子函数
01、(二)Uniapp钩子函数的认识
PeterMrWang的博客
04-29 3183
Uniapp钩子函数的认识 文档:https://uniapp.dcloud.io/collocation/App.html#applifecycle App.vue是uni-app的主组件,所有页面都是在App.vue下进行切换的,是页面入口文件。但App.vue本身不是页面,这里不能编写视图元素。 这个文件的作用包括:调用应用生命周期函数、配置全局样式、配置全局的存储globalData 01、App.vue 应用生命周期 uni-app 支持如下应用生命周期函数: 函数名 说明 onL
内核钩子学习
bcbobo21cn的专栏
05-10 850
如何建立内核级钩子控制操作系统实现程序隐身 我们知道,应用程序总是离不开系统内核所提供的服务,比如它要使用内存的时候,只要跟操作系统申请就行了,而不用自己操心哪里有空闲的内存空间等问题,实际上,这些问题是由操作系统的内核来代劳的。站在黑客的角度讲,如果能够控制内核,实际上就是控制了内核之上的各种应用程序。本文将向您介绍如何建立内核级钩子来控制操作系统向上提供的各种低级功能。有了内核级钩子,我们不但能够控制、监视其他程序并过滤有关数据,还能用其实现Rootkit本身及其它程序的隐形。 本文首先回顾系统调用
vue进入页面执行的钩子函数_深入理解Vue 的钩子函数
weixin_39870155的博客
12-19 1908
前言说到Vue的钩子函数,可能很多人只停留在一些很简单常用的钩子( created , mounted ),而且对于里面的区别,什么时候该用什么钩子,并没有仔细的去研究过,且Vue的生命周期在面试中也算是比较高频的考点,那么该如何回答这类问题,让人有眼前一亮的感觉呢...Vue-Router导航守卫有的时候,我们需要通过路由来进行一些操作,比如最常见的登录权限验证,当用户满足条件时,才让其进入导航...
钩子(HOOK)函数教程
u014712365的博客
11-23 1148
http://blog.sina.com.cn/s/articlelist_1585708262_3_1.html 钩子(HOOK)函数教程(一) 我们可以首先从字面上了解钩子钩子是干什么的呢?日常生活中,我们的钩子是用来钩住某种东西的,比如,说,鱼钩是用来钓鱼的,一旦鱼咬了钩,钩子就一直钩住鱼了,任凭鱼在水里怎么游,也逃不出鱼钩的控制。同样的,Windows钩子Hook也是用来钩东...
php钩子示例-认识php钩子
03-01
php钩子示例-认识php钩子
日志钩子的应用
06-11
日志钩子函数,思路比较清楚,具体安装,可以让你对日志钩子有更深刻的认识
HOOK钩子详细介绍
05-13
HOOK钩子详细介绍,让你能够对hook钩子有一个详细的认识并能熟练掌握
wordpress进阶教程(十五):url重写初步认识
01-20
wordpress后台固定连接设置是不会对自定义文章类型起作用的。 二、创建页面。这里说的创建页面科不是简单的页面模板使用,比如你的网站有一个会员系统,前台需要一个注册页面、会员资料页面(包括设置和修改页面)、...
Wordpress 插件开发视频教程( 高清 720P )
01-10
3. 认识钩子:动作(add action与do action) .mp4 文件大小:69,992 KB 4. 认识钩子:带参数的动作.mp4 文件大小:114,541 KB 5. 认识钩子:常用的动作实用案例.mp4 文件大小:170,394 KB 6. 认识钩子:过滤器(add ...
微软MSBuild大会发布Copilot+PC:技术革新还是隐私噩梦?
weixin_41496173的博客
05-24 1668
Copilot pc
微软为团队推出了 Copilot
网络研究观
05-22 436
微软希望使其生成式人工智能品牌对团队更有用。
微软Copilot+ PC:Phi-Silica
鲁班模锤
05-22 1079
昨日微软宣布推出一种新的、更微型的小语言模型 (SLM)Phi-3-Silica,专为Copilot+ PC设计。Copilot+ PC本身配备强大神经处理单元 (NPU) 的个人计算机,能够应付AI计算。基于Windows的Phi-3-Silica仅仅拥有3B参数,是Phi-3系列中最小的。
INDICATOR 再c嵌入sql环境中的作用
最新发布
xie__jin__cheng的博客
05-28 159
INDICATOR 再c嵌入sql环境中的作用
TCP钩子hooks
05-18
TCP钩子hooks)是一种网络安全技术,它能够对网络流量进行监控和处理。TCP钩子通常被用于实现一些安全策略,例如防火墙、入侵检测系统和网络流量分析等。具体来说,TCP钩子技术可以通过在系统内核中安装代码,捕获...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值